Dos vulnerabilidades de cero días en Craft CMS han sido explotadas en ataques en curso para robar datos y vulnerar servidores, según CERT Orange Cyberdefense.
Las vulnerabilidades fueron encadenadas, lo que permitió a los atacantes comprometer los sistemas e instalar herramientas maliciosas, incluyendo un administrador de archivos PHP para facilitar más explotación.
Las Dos Vulnerabilidades Involucradas
- CVE-2025-32432: Ejecución Remota de Código (RCE) en Craft CMS
- Esta falla permite a los atacantes ejecutar código arbitrario en sistemas afectados de manera remota. Funciona explotando una vulnerabilidad en el marco de Craft CMS, donde un atacante puede enviar una solicitud especialmente diseñada que contiene una “URL de retorno” como parámetro, que se guarda en un archivo de sesión PHP.
- CVE-2024-58136: Falla de Validación de Entrada en el Framework Yii
- Craft CMS usa el framework Yii para algunas de sus operaciones, y esta vulnerabilidad involucra una validación incorrecta de las entradas. Los atacantes aprovechan esta falla enviando una carga útil JSON maliciosa, que hace que el código PHP dentro del archivo de sesión se ejecute en el servidor. Esto permite que el atacante suba y ejecute código PHP malicioso.
Cómo Funciona la Explotación ️
Los atacantes comienzan explotando CVE-2025-32432 para almacenar una URL maliciosa en un archivo de sesión PHP.
Esto les permitió crear una vía para la ejecución de código. Luego usaron CVE-2024-58136 para enviar una carga útil JSON especialmente diseñada que ejecutó el código PHP del archivo de sesión, permitiéndoles subir un administrador de archivos PHP al servidor comprometido.
Una vez en el servidor, los atacantes continuaron sus actividades subiendo puertas traseras y robando datos sensibles.
Esta fase de post-explotación también involucró pasos adicionales para mantener la persistencia y escalar privilegios en los sistemas comprometidos.
Soluciones y Mitigaciones ️
- Craft CMS lanzó un parche para CVE-2025-32432 en las versiones 3.9.15, 4.14.15 y 5.6.17 el 10 de abril de 2025. Aunque el framework Yii no se actualizó inmediatamente en estas versiones, el parche para la vulnerabilidad RCE mitiga la cadena de explotación al abordar la causa raíz.
- Los desarrolladores de Yii solucionaron la falla CVE-2024-58136 en la versión 2.0.52, lanzada el 9 de abril de 2025, lo que impide que la carga útil maliciosa se ejecute en los servidores vulnerables.
Orange Cyberdefense destacó que, aunque CVE-2025-32432 está solucionado, la cadena de ataque ya no es explotable, ya que la falla de Yii (CVE-2024-58136) no se puede activar si la vulnerabilidad RCE ha sido corregida.
Recomendaciones para Administradores Afectados ⚙️
Si los administradores de Craft CMS creen que sus sitios pueden haber sido comprometidos, se les recomienda tomar las siguientes acciones:
- Refrescar las claves de seguridad: Ejecutar el comando
php craft setup/security-keyy actualizar la variable de entorno CRAFT_SECURITY_KEY en todos los entornos de producción. Rotar las claves privadas: Si se almacenan claves privadas para servicios como S3 o Stripe como variables de entorno, deben ser renovadas.
Cambiar las credenciales de la base de datos: Como medida de precaución, se deben rotar las credenciales de la base de datos para evitar accesos no autorizados.
Forzar el restablecimiento de contraseñas: Si se sospecha que la base de datos ha sido comprometida, los administradores deben forzar a todos los usuarios a restablecer sus contraseñas usando el siguiente comando:
php craft resave/users --set passwordResetRequired --to "fn() => true"
Indicadores Adicionales de Compromiso (IoC)
Para un examen más detallado de los posibles compromisos, incluidos direcciones IP y nombres de archivos asociados con el ataque, los administradores pueden consultar el informe de SensePost, que contiene un apéndice con estos indicadores.